MCP (Model Context Protocol) — Lo Standard Enterprise per l'Uso Auditabile degli Strumenti AI

Concetto chiave: Il Model Context Protocol (MCP) è uno standard aperto che definisce come gli agenti AI comunicano con strumenti esterni e fonti di dati. Per le implementazioni enterprise, MCP non è soltanto una comodità per gli sviluppatori: è il livello di protocollo che rende ogni azione degli agenti catturabile, auditabile e conforme all'AI Act.

Cos'è il Model Context Protocol?

Il Model Context Protocol (MCP) è uno standard di comunicazione aperto, sviluppato originariamente da Anthropic, che specifica come i modelli linguistici di grandi dimensioni (LLM) e gli agenti AI si connettono a sistemi esterni — database, API, archivi file, applicazioni aziendali e strumenti personalizzati — in modo coerente e osservabile. Mentre il function calling è la capacità dell'LLM (la possibilità di invocare un'operazione nominata), MCP è il livello di protocollo sopra di esso: l'interfaccia standardizzata che regola come quelle invocazioni vengono dichiarate, instradate, autenticate e registrate.

Un agente che usa MCP non chiama direttamente un sistema esterno. Comunica invece attraverso un server MCP che espone un insieme definito di strumenti. Il server MCP gestisce la connessione effettiva, applica i permessi e produce un record strutturato di ogni chiamata agli strumenti e del relativo risultato. L'agente conosce solo gli strumenti che la configurazione MCP espone — non può raggiungere nulla al di là di essi.

Perché è Importante per le Implementazioni Enterprise

Senza un livello di protocollo, gli agenti AI si connettono ai sistemi esterni tramite integrazioni ad hoc: chiamate API dirette, credenziali incorporate, codice non strutturato. Questo crea due problemi enterprise che si amplificano a vicenda.

Il primo è l'osservabilità. Quando un agente chiama direttamente un CRM, un database o un gateway email, non esiste un record strutturato e interrogabile di ciò che ha fatto, a quali dati ha avuto accesso e cosa ha modificato. Il debug è manuale. L'audit è impossibile su scala.

Il secondo è la governance. Quando strumenti e permessi non sono dichiarati a livello di protocollo, non esiste un meccanismo sistematico per imporre quale agente può chiamare quale strumento e in quali condizioni. Una singola modifica alla configurazione dell'agente può inavvertitamente concedere accesso a dati sensibili o consentire un'azione che dovrebbe richiedere approvazione umana.

MCP risolve entrambi i problemi simultaneamente. Poiché ogni chiamata agli strumenti passa attraverso un server dichiarato, ogni azione è catturabile come artifact strutturato. Poiché il server applica il manifesto degli strumenti, i permessi sono a livello di policy — non a livello di codice.

Meccanismo di Funzionamento

Un'implementazione MCP consiste di tre componenti che lavorano insieme:

1. MCP host — il runtime dell'agente AI che avvia le chiamate agli strumenti. L'host conosce solo gli strumenti dichiarati nella sua configurazione MCP.
2. MCP client — il client del protocollo integrato nell'host che formatta le richieste secondo la specifica MCP e le inoltra al server appropriato.
3. MCP server — il componente che espone un manifesto degli strumenti, riceve le richieste di chiamata, esegue l'operazione sottostante (query al database, chiamata API, lettura/scrittura di file) e restituisce una risposta strutturata.

Ad ogni passaggio, la richiesta e la risposta sono dati strutturati. Questo significa che un sistema di audit a valle può ricostruire esattamente cosa è stato chiesto all'agente, quale strumento ha chiamato, quali parametri ha passato, cosa ha restituito lo strumento e cosa ha deciso l'agente successivamente — tutto senza analizzare log non strutturati.

I manifesti degli strumenti in MCP sono dichiarazioni esplicite: ogni strumento ha un nome, una descrizione e uno schema di input tipizzato. Questo contratto tipizzato è il meccanismo che consente la classificazione automatica del rischio. Uno strumento dichiarato come execute_sql con permessi di scrittura su un database di produzione ha un livello di rischio diverso da uno strumento dichiarato come read_document su un archivio file statico.

Casi Limite e Concetti Correlati

MCP viene spesso confuso con il function calling, ma operano a livelli diversi. Il function calling è la capacità dell'LLM — la capacità del modello di decidere di invocare un'operazione nominata e strutturarne i parametri. MCP è l'infrastruttura che definisce quali operazioni esistono, come vengono raggiunte e come le chiamate vengono registrate.

MCP si distingue anche dall'orchestrazione dei workflow. L'orchestrazione multi-agente gestisce come più agenti si coordinano. MCP opera al confine agente-strumento, non a livello agente-agente.

L'AI agentica è il paradigma più ampio — sistemi AI che perseguono obiettivi attraverso cicli di azione autonoma. MCP è uno dei primitivi infrastrutturali che rende l'AI agentica distribuibile su scala enterprise con la governance appropriata.

Prospettiva Knowlee

Nell'architettura di Knowlee, ogni job agente è configurato con un elenco esplicito di allowedTools che mappa direttamente le dichiarazioni del server MCP. Ogni chiamata agli strumenti MCP in una sessione Knowlee è catturata come oggetto JSON strutturato — questo è l'audit trail. Un audit AI Act che richiede prove di "cosa ha fatto questo sistema AI e perché" può essere soddisfatto dalla trascrizione: azione per azione, chiamata per chiamata, con il ragionamento dell'agente allegato.

Per le imprese che operano sotto le classificazioni dell'Allegato III (sistemi AI ad alto rischio), questo livello di auditabilità delle chiamate agli strumenti non è opzionale: è richiesto per soddisfare gli obblighi di trasparenza dell'Articolo 13 e la documentazione del sistema di gestione del rischio dell'Articolo 9 dell'AI Act.

Termini Correlati

• Cos'è il Function Calling LLM?
• Cos'è l'AI Agentica?
• Cos'è un Agente AI?
• Cos'è l'Orchestrazione Multi-Agente?
• Cos'è la Memoria degli Agenti AI?